{"id":3340,"date":"2021-10-18T13:07:17","date_gmt":"2021-10-18T11:07:17","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3340"},"modified":"2021-11-24T09:16:48","modified_gmt":"2021-11-24T09:16:48","slug":"attacchi-rapidi-per-estorsioni-senza-ransomware","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/attacchi-rapidi-per-estorsioni-senza-ransomware\/","title":{"rendered":"Attacchi rapidi per estorsioni senza ransomware"},"content":{"rendered":"\n<p>Recentemente \u00e8 stato individuato un nuovo gruppo chiamato <strong>SnapMC<\/strong> che, in 30 minuti, viola i sistemi di un&#8217;organizzazione, ruba i loro dati sensibili e richiedere il pagamento per impedirne la diffusione.<\/p>\n\n\n\n<p>Questo gruppo <strong>non utilizza i Ransomware<\/strong>, per cui non \u00e8 interessato alla cifratura dei dati, ma solamente alla loro esfiltrazione. Solitamente sfruttano <strong>VPN<\/strong> e <strong>webserver<\/strong> privi di patch per compromettere il perimetro delle organizzazioni e condurre le attivit\u00e0 illecite.&nbsp;<\/p>\n\n\n\n<p>Alle vittime &nbsp;vengono concesse 24 ore per mettersi in contatto e 72 ore per trovare un accordo, tuttavia vengono fatte delle pressioni ben prima del termine. <br>Come prova della compromissione viene fornito l&#8217;elenco di tutti i dati sottratti, se le trattative non vengono concluse entro le scadenze definite, i dati vengono pubblicati e viene segnalata la violazione ai clienti e ai media.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"> <strong>SnapMC<\/strong>  <\/h2>\n\n\n\n<p>Il nome SnapMC \u00e8 dovuto alla loro rapidit\u00e0 &#8220;Snap&#8221; e dall&#8217;uso dello strumento <strong>mc.exe<\/strong> per l&#8217;<strong>esfiltrazione<\/strong> dei dati.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"965\" height=\"97\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/11\/image-4.png\" alt=\"\" class=\"wp-image-3386\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/11\/image-4.png 965w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/11\/image-4-300x30.png 300w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/11\/image-4-768x77.png 768w\" sizes=\"(max-width: 965px) 100vw, 965px\" loading=\"lazy\" \/><figcaption>Da:  <a href=\"https:\/\/blog.fox-it.com\/2021\/10\/11\/snapmc-skips-ransomware-steals-data\/\">SnapMC skips ransomware, steals data \u2013 Fox-IT International blog<\/a> <\/figcaption><\/figure>\n\n\n\n<p>Per ottenere l&#8217;<strong>accesso iniziale<\/strong>, gli attaccanti utilizzano le vulnerabilit\u00e0<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-18935\" class=\"ek-link\"> <\/a>nell&#8217;interfaccia utente <strong>Telerik <\/strong>per ASPX.NET e le <strong>SQL injections<\/strong> per le app webserver.<\/p>\n\n\n\n<p>Dopo aver ottenuto l&#8217;accesso i criminali eseguono un payload per ottenere l&#8217;accesso remoto attraverso una <strong>reverse shell<\/strong> e l&#8217;utilizzo della vulnerabilit\u00e0<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-18935\" class=\"ek-link\"> CVE-2019-18935<\/a>. Successivamente vengono eseguite delle operazioni di <em>routine<\/em> di ricognizione attraverso i comandi Powershell:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>whoami <\/strong><\/li><li><strong>whoami \/priv <\/strong><\/li><li><strong>wmic logicaldisk get caption, description, provider name<\/strong><\/li><li><strong>net users \/priv <\/strong><\/li><\/ul>\n\n\n\n<p>Il gruppo esegue attivit\u00e0 di <strong>privilege escalation<\/strong> attraverso script PowerShell:\u200e<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Invoke-Nightmare<\/strong><\/li><li><strong>Invoke-JuicyPotato<\/strong><\/li><li><strong>Invoke-ServiceAbuse<\/strong><\/li><li><strong>Invoke-EventVwrBypass<\/strong><\/li><li><strong>Invoke-PrivescAudit<\/strong><\/li><\/ul>\n\n\n\n<p>Per la <strong>raccolta dei dati<\/strong> sono stati utilizzati 7zip e  gli script Invoke-SQLcmd. Gli artefatti relativi all&#8217;esecuzione di questi strumenti sono stati archiviati nelle seguenti cartelle:\u200e<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>C:\\Windows\\Temp\\<\/li><li>C:\\Windows\\Temp\\Azure<\/li><li>C:\\Windows\\Temp\\Vmware<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">CVE-2019-18935<\/h3>\n\n\n\n<p>L&#8217;interfaccia utente Progress Telerik per ASP.NET AJAX fino a 2019.3.1023 contiene una vulnerabilit\u00e0 di deserializzazione .NET nella funzione RadAsyncUpload. Tale vulnerabilit\u00e0 risulta essere critica, con <strong>score 9.8<\/strong>, e sfruttabile quando le chiavi di crittografia sono note a causa della presenza della<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-11317\" class=\"ek-link\"> CVE-2017-11317<\/a> o della <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-11357\" class=\"ek-link\">CVE-2017-11357<\/a>. L&#8217;utilizzo di questa vulnerabilit\u00e0 pu\u00f2 comportare l&#8217;<strong>esecuzione di codice<\/strong> in modalit\u00e0 remota. A partire dalla versione 2020.1.114, un&#8217;impostazione predefinita impedisce l&#8217;exploit, cos\u00ec come nella versione 2019.3.1023, ma non nelle versioni precedenti.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">IOC<\/h2>\n\n\n\n<p>Nome del <strong>payload <\/strong>scaricato dopo aver exploitato consuccesso Telerik Composto dalla prima parte data dal epoch timestamp e dalla seconda  (dopo il punto) generata randomicamente<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li> C:\\Windows\\Temp[0-9]{10}.[0-9]{1,8}.dll <\/li><\/ul>\n\n\n\n<p><strong> 7zip utility <\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li> 7zip archiving utility <\/li><\/ul>\n\n\n\n<p> <strong>SQL cmdlet<\/strong> <\/p>\n\n\n\n<ul class=\"wp-block-list\"><li> s.ps1 <\/li><li> a.ps1 <\/li><li>x.ps1<\/li><\/ul>\n\n\n\n<p> <strong>Cartella <\/strong>in cui vengono memorizzati i <strong>file creati da MinIO <\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li> C:\\Windows\\Temp\\Vmware\\ <\/li><li> C:\\Windows\\Temp\\Azure\\ <\/li><\/ul>\n\n\n\n<p><strong> MinIO client <\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>MD5:  651ed548d2e04881d0ff24f789767c0e <\/li><li>SHA1:  b4171d48df233978f8cf58081b8ad9dc51a6097f <\/li><li>SHA256:  0a1d16e528dc1e41f01eb7c643de0dfb4e5c4a67450c4da78427a8906c70ef3e <\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Recentemente \u00e8 stato individuato un nuovo gruppo chiamato SnapMC che, in 30 minuti, viola i sistemi di un&#8217;organizzazione, ruba i loro dati sensibili e richiedere il pagamento per impedirne la diffusione. Questo gruppo non utilizza i Ransomware, per cui non \u00e8 interessato alla cifratura dei dati, ma solamente alla loro esfiltrazione. Solitamente sfruttano VPN e [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":3902,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[137,325,380,389],"class_list":["post-3340","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-exfiltration","tag-snapmc","tag-vpn","tag-whoami"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3340","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3340"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3340\/revisions"}],"predecessor-version":[{"id":4070,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3340\/revisions\/4070"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media\/3902"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3340"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3340"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3340"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}